¿Qué es DMARC y cómo funciona?
El correo electrónico es una herramienta fundamental para las empresas y cualquier problema prolongado puede suponer una pérdida de ingresos, afectar a la reputación e incluso causar problemas legales. Por desgracia, casi todos los días llega a nuestra bandeja de entrada algún correo electrónico sospechoso. Algunos confunden este correo electrónico sospechoso con uno fiable. El término que se suele usar para referirse a esto es phishing y el Business Email Compromise (BEC) es un tipo específico de ataque de phishing y un tema muy tratado por Hornetsecurity, sobre el cual puedes leer más en estos artículos:
- Esté atento a las estafas de phishing durante las fiestas
- Todo lo que sus empleados deben saber sobre el phishing + ejemplos reales
- Desenmascarar el phishing: entender esta seria amenaza para su empresa
Todos estos artículos abordan el mismo tema: los ataques de phishing y la suplantación de identidad son incesantes y cada vez son más frecuentes. Las empresas deben permanecer en alerta y asegurarse de que están utilizando una protección eficaz para detectar y bloquear estos ataques.
¿Qué es DMARC?
Ya hemos dejado claro lo crítico que es el correo electrónico para las empresas y hemos abordado las principales amenazas a las que se enfrentan. Pasemos ahora a hablar de los mecanismos de protección utilizados para hacer frente a estas amenazas. Permíteme presentarle un trío de protocolos de autenticación de correo electrónico, configurados como registros DNS, que pueden utilizarse para protegerse contra las amenazas BEC más comunes:
- DMARC (autenticación de mensajes basada en dominios, informes y conformidad)
- SPF (marco de políticas del remitente)
- DKIM (correo identificado por claves de dominio)
Aunque este artículo es sobre DMARC, es importante hablar primero sobre el SPF y el DKIM, que son parte integral del funcionamiento de DMARC. SPF ofrece a los propietarios de dominios la posibilidad de especificar a qué hosts se les permite enviar correos electrónicos, en nombre de ese dominio. DKIM, por su parte, utiliza criptografía de clave pública para ofrecer la garantía de que el mensaje no ha sido manipulado durante el envío. DMARC utiliza un conjunto de reglas, denominadas “políticas”, y basándose en las verificaciones realizadas por SPF o DKIM, determina eficazmente si un correo electrónico es seguro.
Trabajar juntos
Como he mencionado antes, una política DMARC evalúa los resultados del SPF y DKIM para decidir si marca el correo electrónico como seguro. Este esquema simplificado muestra cómo funcionan juntos el DMARC, el SPF y el DKIM:
Vamos a ver cómo funciona esto en la práctica una vez que se ha recibido un correo y se verifica utilizando la política DMARC.
- Comprobación SPF – Proporciona autenticidad dominio-remitente verificando que el dominio de origen en el mensaje coincide con el campo “Return-Path”.
- Comprobación DKIM – Utiliza criptografía de clave pública para validar la integridad y asegurar que el mensaje no ha sido manipulado.
DMARC toma los resultados de estas verificaciones y los utiliza como datos que introduce en una política con el fin de evaluar y determinar qué acción se debe tomar. Es importante tener en cuenta que, aunque las políticas DMARC tienen tres acciones claramente definidas para lo que debe ocurrir a continuación, la decisión real puede diferir en función de la naturaleza de la empresa y su contexto. Por ejemplo, si la entrega del correo electrónico es crítica para el negocio, la política puede ser más indulgente en el trato que da a los correos que no han pasado todas las verificaciones. En otras palabras, la empresa remitente configura su política DMARC, pero queda a discreción de las empresas receptoras seguir o no esa política.
Políticas DMARC
La política DMARC es donde ocurre toda la magia y donde el DMARC decide cómo tratar los correos en función de los resultados de las verificaciones SPF y DKIM. Hay que tener en cuenta que, dependiendo de varios factores, la configuración de los registros SPF y DKIM puede ser bastante compleja. No entraremos en esos detalles ahora, pero puede encontrar más información sobre cómo configurar cada uno aquí:
- SPF
- DKIM
Vamos a centrarnos en las tres opciones disponibles en la política DMARC: ninguno, cuarentena o rechazar.
| Nombre de la opción | Acción | Resultado |
| Ninguno | No tomar ninguna medida | El mensaje se entrega |
| Cuarentena | Marcar como spam | El mensaje es tratado como spam |
| Rechazar | Bloquear el envío | El mensaje no se entrega |
La primera opción “ninguno” suele ser una buena elección si el dominio se ha adquirido recientemente y desea crear una base de referencia para asegurarse de que los correos electrónicos se entregan utilizando DMARC. Después de eso y dependiendo de su infraestructura y del contexto de su empresa, podría pasar a marcar los mensajes como “cuarentena”. La opción “rechazar” hará exactamente lo que dice.
Es importante señalar que una política DMARC puede seguir utilizándose si existe un registro SPF o DKIM, pero tener ambos es mejor. Esto es especialmente importante en estos tiempos en los que los correos electrónicos de phishing son una amenaza seria para la seguridad, ampliamente tratada en este artículo sobre phishing de Hornetsecurity.
Para ver realmente una mejora de la seguridad del correo electrónico y combatir las amenazas, es necesaria una adopción más amplia de estos mecanismos de protección. La buena noticia es que las tendencias van en la dirección correcta. Aunque se introdujeron en 2012, dmarc.org. realizó un seguimiento de la adopción de los registros utilizados activamente desde 2016 hasta 2022 y descubrió lo siguiente:
- De un lento aumento de registros DNS configurados a partir de 2016, en 2019 el número de DMARC creció hasta aproximadamente ochenta mil.
- Un crecimiento exponencial con más de tres millones y medio en junio de 2021 y casi seis millones en abril de 2022.
Podemos decir con toda seguridad que la adopción no habrá hecho más que aumentar desde los últimos resultados registrados. Especialmente con Yahoo y Google liderando esta iniciativa, anunciando a finales de 2023 que a partir de febrero de 2024 se exigirá a cualquier servicio que envíe más de 5000 correos al día que cuente con una política DMARC. Esto envió una clara señal de que la industria reconoce la importancia de mejorar la seguridad del correo electrónico para todos.
Cómo mejora DMARC la seguridad del correo electrónico
DMARC realiza una función crítica de validación de la autenticidad del correo electrónico utilizando las verificaciones de SPF y DKIM, proporcionando una garantía bidireccional tanto para el remitente como para el destinatario:
- El dominio remitente tiene la seguridad de que los correos electrónicos salientes serán entregados.
- El servidor de correo electrónico receptor tiene la seguridad de que el dominio del que proceden los correos electrónicos está autorizado a enviarlos.
Un dominio comprometido es un arma peligrosa que los ciberdelincuentes pueden utilizar para lanzar sus ataques de phishing y suplantación de dominio, en los que se envían correos electrónicos no autorizados desde el dominio de correo electrónico de origen. Esto, a su vez, crea vectores de ataque adicionales, como alojar malware en un dominio que, por lo demás, es legítimo, y engañar a las víctimas para que descarguen malware. Los riesgos de esto se reducen significativamente utilizando la política DMARC.
Hasta ahora hemos hablado mucho de los controles preventivos de DMARC, pero ¿qué hay de sus controles de detección? Le alegrará saber que DMARC incluye también informes y monitorización. Proporciona dos tipos de informes, así como una monitorización continua de los problemas de autenticación del correo electrónico en tiempo real. Colectivamente, estos proporcionan a los propietarios de dominios información muy útil para ayudarles a identificar posibles problemas de seguridad como la suplantación de direcciones de correo electrónico, configuraciones erróneas o el uso no autorizado de su dominio.
Hay dos tipos de informes:
Informes agregados
Un informe de tipo instantáneo con información y estadísticas que incluye los resultados de cuántos correos electrónicos pasaron o fallaron las verificaciones DKIM.
Informes forenses
Menos comunes y utilizados para solucionar problemas específicos de autenticación proporcionando información detallada.
Amenazas más comunes mitigadas por DMARC
Hemos hablado de cómo DMARC puede mitigar amenazas como el phishing y la suplantación de dominios, pero ¿qué ocurre con otros ataques malintencionados a través de correo electrónico? Por ejemplo, infectar los dispositivos de los usuarios con malware utilizando una dirección de correo electrónico suplantada. ¡DMARC acude al rescate! Los correos electrónicos suplantados no pasarán las verificaciones DMARC, se marcarán como maliciosos y serán tratados también en consecuencia.
¿Qué ocurre con las amenazas no técnicas, como el impacto en la marca y la reputación de una empresa? La capacidad de suplantar el dominio de una empresa puede causar daños importantes de varias formas, como el envío de correos electrónicos inapropiados, engañosos o incluso fraudulentos. Dependiendo de la escala de estos ataques, la confianza en la marca de la empresa, posiblemente construida a lo largo de muchos años, puede desaparecer o reducirse significativamente. De nuevo, ¡DMARC acude al rescate! Los propietarios de dominios pueden mitigar esta amenaza especificando qué medidas tomar cuando un correo electrónico no pasa las verificaciones de autenticación.
Evitar dolores de cabeza al configurar DMARC con DMARC Manager
Configurar y gestionar las políticas DMARC, DKIM y SPF puede crear una sobrecarga administrativa importante, especialmente si está gestionando esto para empresas grandes y complejas, gestionando muchos dominios, múltiples configuraciones y requisitos diferentes por dominio.
Le alegrará saber que existen herramientas de gestión de DMARC, también conocidas simplemente como “DMARC Manager”. El DMARC Manager de Hornetsecurity está diseñado para cuidar la reputación de su marca protegiendo sus dominios frente a la suplantación de identidad, el phishing y el spoofing con funciones intuitivas de gestión DMARC, DKIM y SPF como:
- Un configurador de dominios
- Panel de estado
- Análisis de remitentes de correo electrónico
- Informes de fallos y alertas
Pide una demo hoy mismo y descubre cómo DMARC Manager protege los dominios contra la suplantación de identidad, el phishing y el spoofing con una gestión intuitiva:
Conclusión
Las empresas deben actuar de forma proactiva a la hora de proteger y salvaguardar sus mensajes de correo electrónico de las amenazas que suponen los ataques de suplantación de identidad y phishing. El protocolo de seguridad de correo electrónico DMARC es una tecnología de vital importancia que pueden utilizar, ya que crea una política que, junto con SPF y DKIM, puede determinar qué acciones tomar para un correo electrónico entrante.
La adopción de DMARC aumenta constantemente y es probable que las recientes exigencias de los principales actores del sector sigan fomentando esa tendencia positiva. Para lograrlo, las empresas ya deberían estar desarrollando un plan para implementar DMARC Manager. Sin embargo, esto no debería planificarse e implementarse de forma aislada, sino como parte de su estrategia global de seguridad del correo electrónico.
Preguntas frecuentes
¿Cuáles son las principales ventajas de utilizar DMARC?
DMARC mejora la seguridad del correo electrónico al validar su autenticidad, reduciendo los riesgos de los ataques de phishing, suplantación de identidad y malware. Protege la reputación de la marca y proporciona información valiosa a través de informes y monitorización para identificar problemas de autenticación.
¿Qué es el DMARC Manager de Hornetsecurity?
El DMARC Manager de Hornetsecurity es una herramienta intuitiva diseñada para simplificar la implementación y gestión de las políticas DMARC, SPF y DKIM. Ayuda a proteger sus dominios contra el phishing, el spoofing y la suplantación del correo electrónico, protegiendo al mismo tiempo la reputación de su marca.
¿Por qué las empresas deberían usar el DMARC Manager?
El DMARC Manager minimiza la carga administrativa y evita errores de configuración. Garantiza la seguridad del correo electrónico automatizando configuraciones complejas, mejorando la protección de los dominios y permitiendo una gestión proactiva de las amenazas, por lo que es ideal para empresas de todos los tamaños.
